Los piratas informáticos que trabajan para gobiernos fueron responsables de la mayoría de las exploits de día cero atribuidas utilizadas en los ataques cibernéticos del mundo real el año pasado, según una nueva investigación de Google.
El informe de Google dijo que el número de exploits de día cero, que se refieren a fallas de seguridad que eran desconocidas para los fabricantes de software en el momento en que los piratas informáticos abusaron de ellas, había retirado de 98 exploits en 2023 a 75 exploits en 2024. Pero el informe señaló que de la proporción de días cero que Google podría atribuir a los hackers, lo que significa que los hackers que fueron responsables de los responsables de las expulsadas de los 23 años cero.
Entre esas 23 exploits, 10 días cero se atribuyeron a los piratas informáticos que trabajan directamente para los gobiernos, incluidas cinco exploits vinculadas a China y otros cinco a Corea del Norte.
Se identificaron otros ocho exploits como desarrollados por fabricantes de spyware y facilitadores de vigilancia, como el grupo NSO, que generalmente afirman vender solo a los gobiernos. Entre esas ocho exploits realizados por compañías de spyware, Google también contó errores que fueron explotados recientemente por las autoridades serbias que utilizan dispositivos de innumeramiento telefónico CelleBrite.
A pesar del hecho de que hubo ocho casos registrados de días cero desarrollados por fabricantes de spyware, Clément LeCigne, un ingeniero de seguridad del Grupo de Inteligencia de Amenazas de Google (GTIG), dijo a TechCrunch que esas compañías “están invirtiendo más recursos en seguridad operativa para evitar que sus capacidades estén expuestas y no terminen en la noticia”.
Google agregó que los proveedores de vigilancia continúan proliferando.
“En los casos en que la acción de aplicación de la ley o la divulgación pública han expulsado a los proveedores del negocio, hemos visto que los nuevos proveedores surgen para proporcionar servicios similares”, dijo James Sadowski, analista principal de GTIG, a TechCrunch. “Mientras los clientes del gobierno continúen solicitando y pagando estos servicios, la industria continuará creciendo”.
Los 11 días cero atribuidos restantes probablemente fueron explotados por los ciberdelincuentes, como los operadores de ransomware dirigidos a dispositivos empresariales, incluidas VPN y enrutadores.
El informe también encontró que la mayoría del total de 75 días cero explotados durante 2024 estaban apuntando a plataformas y productos de los consumidores, como teléfonos y navegadores; mientras que el resto explotó dispositivos típicamente encontrados en redes corporativas.
La buena noticia, según el informe de Google, es que los fabricantes de software que defienden contra ataques de día cero están dificultando cada vez más que los fabricantes de explotación encuentren errores.
“Estamos viendo disminuciones notables en la explotación del día cero de algunos objetivos históricamente populares, como navegadores y sistemas operativos móviles”, según el informe.
Sadowski señaló específicamente el modo de bloqueo, una característica especial para iOS y macOS que desactiva cierta funcionalidad con el objetivo de endurecer los teléfonos celulares y las computadoras, que tiene un historial comprobado de detener a los piratas informáticos; Además de la extensión de etiquetado de memoria (MTE), una característica de seguridad de los modernos chips de Google Pixel que ayuda a detectar ciertos tipos de errores y mejorar la seguridad del dispositivo.
Informes como Google son valiosos porque dan a la industria y observadores, puntos de datos que contribuyen a nuestra comprensión de cómo operan los piratas informáticos gubernamentales, incluso si un desafío inherente al contar los días cero es que, por naturaleza, algunos de ellos no se detectan, y de los que se detectan, algunos aún no se atribuyen.
